Sospechosos habituales (y cada vez más y mejor)

20 de noviembre de 2007 Por

facebook.jpgHemos hablado en este blog varias veces de Google y el almacenamiento masivo de datos de carácter personal que lleva a cabo a través de sus servicios de búsqueda, blogs, calendario, correo electrónico, etc.; de sus más que cuestionables políticas de retención de datos, o del hecho —al César lo que es del César: de esto no tienen ellos la culpa— de que sea relativamente sencillo sacar gran cantidad de datos personales utilizando su búsqueda (lo que me dió por llamar LOPD Google Hacking). Incluso recordarán que hace unas semanas, a raíz del video de un discapacitado, la AEPD decidió echarle un vistazo a Google y entrar en el asunto, aunque poco más se ha sabido de ello.

Cambiando de sospechoso habitual, hoy leía en BITácora que Facebook está siendo investigada por la autoridad de protección de datos de UK, al parecer por aplicar una política de retención de datos algo dudosa; para que lo entiendan, es algo así como «Vaya, esto sí que es curioso. Me he vuelto a registrar seis meses después de haberme dado de baja… y los datos de mi perfil siguen estando aquí». El caso es que no me extrañaría que en los próximos años, a causa del creciente uso de datos de carácter personal con fines publicitarios y comerciales que hacen estas “redes” (de algún sitio tiene que salir el dinero en el mundo 2.0.com), de lo que les hablaré en breve, veamos un aumento de las quejas y denuncias con respecto a la gestión que estas webs hacen de los datos de sus usuarios (o “afiliados”).

La pregunta que me hago es si todas esas quejas sirven de algo, o en otras palabras, si la AEPD y sus “colegas” europeas van a ponerse de acuerdo y actuar, o van sólo a “parlamentar”; o incluso, si por temas jurisdiccionales o similares, pueden hacer algo más que “negociar” (300 millones de europeos deberían ser suficiente respaldo para hacer algo más que hablar). Si este tipo de manipulaciones van a quedar en la impunidad milkilométrica que supone el océano Atlántico, si van a seguir haciendo lo que les venga en gana, o si tendremos que esperar a que haya un Enron o un Worldcom en el mundo de los datos personales para que los EEUU se pongan las pilas y saquen algo como la SOX en este tipo de temas, y entonces Google, Facebook, MySpace y demás sujetos se plieguen al imperio y hagan un poco de caso.

Ya ven, que como siempre, muchas preguntas y pocas respuestas. Si quieren saber mi opinión, pues viene a ser la misma que la de Félix Haro. Es decir, que harán, como hasta ahora, lo que les venga en gana.

¿Es el correo electrónico un medio de comunicación seguro…?

5 de septiembre de 2007 Por

mail.jpgLeía hace unas semanas una noticia que decía “La policía danesa detiene a un hombre por acceder a los correos electrónicos de Michael Rasmussen” y seguía “La policía danesa ha arrestado en Herning, en el oeste de Dinamarca, a un danés de 30 años por introducirse en el correo electrónico del ciclista Michael Rasmussen e intentar vender a un periódico la información que obtuvo”.

Esta noticia me ha hecho reflexionar sobre la seguridad general del correo electrónico que transita por el mundo y el negocio lucrativo que algunas mentes enfermizas pueden obtener por el hecho de fisgar en el correo ajeno.

Nuestros equipos de trabajo han analizado en bastantes ocasiones la seguridad del correo electrónico desde la óptica, por ejemplo, de la Ley Orgánica de Protección de Datos y de las medidas de seguridad que el Reglamento nos exige. ¿Podemos enviar información de carácter personal por el correo electrónico? ¿Cumple el correo electrónico las medidas básicas de seguridad para proteger la información que contiene? ¿Cómo podemos hacer uso del correo electrónico como canal de comunicación seguro? Las respuestas no son desde luego triviales para el gran público.

Pero el foco del análisis ha sido siempre distinto. Nos hemos enfrentado a infraestructuras corporativas de correo electrónico con servidores de correo, a evitar que el correo sea interceptado dentro y fuera de las organizaciones y a garantizar unas medidas de protección para determinado tipo de información que viaja en nuestros sobres electrónicos, pero, al menos yo, no me había planteado el interés que los correos electrónicos personales pueden llegar a tener en función de los dueños de las cuentas y, por tanto, la necesidad de que los que hospedan estas cuentas de correo ofrezcan a sus clientes servicios que garanticen la seguridad de sus comunicaciones.
[Read more…]

Noticias de seguridad (o no)

24 de julio de 2007 Por

Para empezar bien la semana, ayer lunes nos “desayunamos” con varias noticias relacionadas con la seguridad. La primera de ellas, la desmantelación de una red internacional de piratería de software dirigida desde Valencia (podemos ver la noticia en Levante El Mercantil Valenciano). Al parecer, ha caído una banda que se dedicaba a distribuir CDs “todo en uno”. Una buena noticia, pero no tan buena como la siguiente. Sigan leyendo.

Al mediodía, los periódicos nacionales nos informaban de la detención de “El Solitario”, el atracador más buscado de España, con varios asesinatos y multitud de robos a sus espaldas. Otra buena noticia relacionada con la seguridad, y es que no sólo trabajamos contra hackers, crackers, virus y similares, sino que también nos preocupa la seguridad física —en especial cuando hay víctimas. A fin de cuentas, a una entidad bancaria le afecta tanto un ataque de phishing como un lazo libanés en un cajero, un descuidero o un atracador; obviamente mucho más el atracador cuando hay muertos o heridos de por medio. Otra buena noticia, y desde aquí nuestra enhorabuena a los que la han hecho posible.

La tercera noticia a la que hacía referencia en principio es un gran apagón en la ciudad de Barcelona, al parecer causado por la caída de un cable en una central eléctrica. Este apagón ha afectado a buena parte de la ciudad, causando el caos y paralizando parcialmente la actividad en nueve de los diez distritos de la ciudad: problemas circulatorios —no funcionaban los semáforos—, hospitales a oscuras, ferrocarriles detenidos, etc. ¿Qué tiene que ver esto con la seguridad? A primera vista, poco o nada… pero si nos paramos a pensar un poco, podemos plantearnos si sería posible conseguir esto mismo —lo que en este caso vino causado por un accidente— a través de ataques informáticos. En muchos países, en especial del ámbito anglosajón, se ha puesto de moda en los últimos años hablar de Infraestructura Crítica Nacional (los sectores básicos para que un país funcione: energía, finanzas, alimentación, logística…), así como de su protección frente a grandes ataques terroristas de cualquier tipo, tanto físicos —recordemos el 11S— como lógicos.

¿Cómo estamos de preparados en España para afrontar este tipo de amenazas? En opinión de muchos, la probabilidad de que se produzca un ataque ciberterrorista contra el país es mucho menor que la probabilidad de que se produzca un ataque “clásico”, a causa en parte de nuestra historia más reciente. Dicho de otra forma, se considera más probable que una bomba destruya una presa, que el hecho de que los sistemas de control de esa misma presa sean neutralizados a nivel lógico por un tercero. Pero… ¿y si sucede? ¿Estamos preparados? Personalmente, yo —y esto es una opinión, tan buena o mala como cualquier otra— creo que no. Lo que no sé, y me gustaría saber, es si realmente se ha evaluado la amenaza de forma adecuada, o simplemente hemos dicho aquello de “como nunca ha pasado…”. Porque tampoco antes del 11S habíamos pensado que dos aviones podían estrellarse contra los edificios emblemáticos de una ciudad como NY, causando miles de muertos y paralizando por completo a los Estados Unidos, la mayor potencia mundial, y lamentablemente pasó.

Vaya si pasó.

Actualización 11:00h: Para completar el inicio de semana, se ha descubierto una vulnerabilidad grave en Windows que afecta a Microsoft Office e Internet Explorer, para la que no existe en la actualidad parche por parte de Microsoft. Se recomienda por tanto especial cuidado en la apertura de documentos de la suite Microsoft Office (Excel, Power Point, Word, etc.) que no provengan de una fuente fiable, y el acceso a páginas web desconocidas. Como siempre, existe la alternativa de usar Mozilla Firefox y la suite OpenOffice, pero por supuesto, eso queda a elección del lector.

“Conectividad limitada o nula”

23 de julio de 2007 Por

¿Conectividad limitada o nula? Madre mía, pero si tengo el AP en la habitación de al lado…

¿Cuántas veces hemos tenido que deambular por la casa portátil en mano alejándonos de zonas de sombra de cobertura, buscando incrementar la señal? Sí, bueno, ya se lo que pensaréis, ese escenario es ligeramente diferente al primero, ya que puede que el Access Point en cuestión no se encuentre en nuestra casa. Pues bien, hablando de cobertura, el profesor Ermanno Pietrosemoli de la escuela latinoamericana de Redes ha batido el récord, este mes pasado, de cobertura WiFi. Nada más y nada menos que ha conseguido establecer una conexión direccional a 382 Kilómetros de distancia, con un ancho de banda de 3 Mb en ambos sentidos, superando el antiguo récord establecido en 310 Km.

Esta tecnología aplicada a largas distancia no es tan robusta como podría ser WiMax, pero… ¿alguien sabe cuanto cuesta una torre WiMax? (creo que en ebay hay alguna de segunda mano). Así pues WiFi puede ser una solución a coberturas de larga distancia que requieran un ancho de banda limitado, y aquí tenemos la prueba. Eso sí, los problemas que pueden suponer alinear correctamente las antenas, los obstáculos en visión directa o la propia curvatura de la Tierra dificultan “bastante” el despliegue.

Y además 382 km dan mucho espacio para poner un sniffer.

Breves

16 de julio de 2007 Por

Aunque sea cierto que de vez en cuando a algunos nos entra la paranoia Gran Hermano, cuando ve uno cosas como las que han pasado con Vodafone en Grecia, no deja de sentirse algo justificado en sus miedos. Cosas que demuestran, además, que una puerta trasera suele ser una muy mala idea, sea para quién sea, porque nunca sabe uno quién acabará utilizándola.

www.congreso.es

15 de junio de 2007 Por

Como regalo para el fin de semana, y bordeando la media noche, les voy a regalar algo que he visto en Kriptópolis, aunque proviene de la Asociación de Internautas, y que no puedo dejar pasar. Como es posible que sepan, la nueva nuevísima web del Congreso se presentó hace unos días con problemas de estándares, diseño, desarrollo, accesibilidad y muchas otras cosas.

Y como no podía ser de otra manera, al parecer, entre los catorce millones de euros que ha costado, también va incluido el manual de Oracle Application Server 10g Release 2 (10.1.2), según pone en http://www.congreso.es/quickstart.htm, y es posible que otras cosas cuyo acceso público no sea tan relativamente inocuo (que conste en acta lo de “relativamente”). Lo dicho; por catorce millones de euros, ¿quién da más?

(Es muy posible, deseable, lógico, y sobre todo recomendable, que ese manual de Oracle accesible desde Congreso.es y contenido similar que no debería ser público, desaparezca en las próximas horas. Si eso sucede, pueden obtener los detalles completos en el anterior enlace de Internautas.org)

120,000 cuentas de un ISP hackeadas

11 de junio de 2007 Por

Como saben, recientemente ha sido noticia la intrusión en un ISP español de un hacker que presuntamente ha capturado 120,000 cuentas de usuario [ElPais.com] [Barrapunto] [Kriptópolis]. Teniendo en cuenta que el problema por supuesto es preocupante para los propios clientes de esta compañía, pienso que es además de especial interés ver cuál ha sido el modelo de negocio/motivación de estos hackers en la empresa de hosting, ya que según diversos comentarios, parece que la intrusión fue utilizada para modificar los contenidos de las páginas albergadas por los clientes en el ISP, redirigiendo éstas hacia páginas con troyanos y otro tipo de malware.

Aunque entiendo la preocupación de cualquier cliente al ver que sus datos de carácter personal circulan “por ahí”, y con el temor adicional de que puedan haber datos bancarios, creo que es de destacar el uso que al parecer se ha hecho de la intrusión: redirigir usuarios —visitantes— de páginas web de confianza hacia páginas web con troyanos, con lo que podemos afirmar que en última instancia los verdaderos sufridores —destinatarios y víctimas— del ataque no es el ISP ni sus clientes, sino los clientes de estos clientes. Algunas preguntas surgen a raíz de esto:

— ¿Qué imagen da una empresa que llena de virus o cosas peores a todos los clientes que le visitan?
— ¿Qué responsabilidad tiene en esto la empresa de hosting? ¿Y la empresa propietaria del dominio/contenidos?

Sin lugar a dudas, los nuevos modelos de negocio del hacking no paran de sorprendernos… ¡Ah! Y esto muestra, una vez más, que no es cierto aquello de que no les va a pasar nada por navegar por páginas web de su confianza…

Microsoft y la Seguridad (esa gran desconocida)

11 de mayo de 2007 Por

Siendo éste un blog semi corporativo, entendiendo como tal un blog que representa a una empresa -S2 Grupo- pero que no es escrito por un departamento de marketing dedicado a ello, uno duda a veces sobre la forma de enfocar las cosas; ya saben que como decía Aristóteles, el punto medio es siempre una buena cosa, y a menudo no resulta conveniente abandonarse a los instintos y dejar que el lector se las apañe buenamente como pueda con ellos. Antes de acabar entenderán a qué me refiero.

El pasado 10 de mayo aparecía en ElPais.com la noticia de que «Microsoft quiere proteger a las empresas», cuyo primer párrafo comenzaba con esta ilustrativa, gratuita y subjetiva sentencia: «Las empresas de seguridad deben estar temblando al conocer la noticia de que Microsoft se ha marcado la meta de conquistar el mercado de las soluciones de seguridad para la empresa». Ni que decir tiene que me encantaría conocer la experiencia informática y conocimientos del sector del redactor de la noticia.

No tengo dudas, ninguna en absoluto, del poder que tiene el departamento de publicidad de Microsoft. Tampoco las tengo de los problemas que iniciativas como esta puedan traer para fabricantes de antivirus, cortafuegos o software anti spyware. Ya les digo que sobre eso no me cabe ninguna duda. Pero si me pusiese a hablar de todo lo demás, que es mucho teniendo en cuenta la imagen que da Microsoft en esto de la seguridad, acabaríamos aquí todos muertos de risa, y como les dije al principio, es mejor que me modere y mantenga la seriedad, y sean ustedes los que den rienda suelta a sus instintos, ahora que estamos en el esperado descanso semanal.

Así pues, buen -resto de- fin de semana a todos.

Programa Santiago

11 de mayo de 2007 Por

Supuestamente, el próximo año estará plenamente operativo el Programa Santiago (Ministerio de Defensa), cuyo objetivo principal es la captación de emisiones electromagnéticas y de imágenes en las zonas definidas como de interés estratégico para la seguridad nacional (Ingeniería de Sistemas Aplicada, capítulo 5: Análisis de riesgos durante la evaluación de ofertas en el programa Santiago). Poco sabemos de este programa, iniciado en 1986, clasificado secreto y del que apenas podemos encontrar información oficial (con excepción de los presupuestos que cada año se asignan al mismo), pero todo apunta a que se trata de la versión española de ECHELON.

Uno de los -presuntos- pilares de este programa es la estación de seguimiento de satélites Fresnedillas-Navalagamella (con un acceso físico fuertemente controlado por personal que impide incluso la toma de fotografías, doble valla y cámaras de seguridad); este centro -se pueden ver sus imágenes en Google Earth- dispone de al menos cinco antenas de unos 18 metros orientadas al sur. Si a estos datos unimos una de las conclusiones del informe final elaborado por la comisión europea que estudió ECHELON, que en su apartado 5.2.3 indica explícitamente que «si en una ubicación se encuentran dos o más antenas de recepción de satélites con un diámetro superior a 18 metros, una de sus tareas es la interceptación de comunicaciones civiles», parece obvio a qué puede dedicarse la estación mencionada.

¿Existe realmente un nivel de confidencialidad aceptable en nuestras comunicaciones? A priori, ni a los militares ni a los servicios de inteligencia les interesan de forma especial nuestras comunicaciones electrónicas (espero que dediquen su tiempo a interceptar comunicaciones que realmente puedan afectar a nuestros intereses globales, como las de grupos terroristas, las de países “poco amigos” o las de países “amigos”), pero si esos datos cayeran en otras manos estaríamos ante un grave problema. ¿Cómo se garantiza la seguridad en este caso? ¿Quién vigila al vigilante? Sin duda, es algo que deberíamos empezar a plantearnos…

Para saber más de este y otros temas, es muy recomendable el libro “Libertad Vigilada”, de Nacho García Mostazo (Ed. B), que aunque data de 2002 -una eternidad en nuestra era informática- sigue siendo de lo poquito publicado al respecto en nuestro país.

[Actualización 18/05/2007. Para los escépticos ávidos de fuentes “fiables”, aquí va un enlace al programa Santiago en la web del Ministerio de Defensa]

Boletín de seguridad Microsoft para Mayo 2007

10 de mayo de 2007 Por

El pasado 8 de mayo, Microsoft publicó su boletín de seguridad para el mes de Mayo. Las actualizaciones, que pasamos a referir a continuación, corrigen problemas de ejecución de código remoto.

Tres de las actualizaciones publicadas solucionan vulnerabilidades de la suite Office MS07-025 (934873) y de dos de sus aplicaciones, en concreto Word MS07-024 (934232) y Excel MS07-023 (934233). El software afectado es el de la versión 2000 y superior.

En los entornos de servidor tenemos tres vulnerabilidades, nuevamente, de Ejecución de Código, una para la plataforma Exchange MS07-026 (931832), otra para servidores de DNS MS07-029 (935966), y por último para el producto BizTalk MS07-028 (931906).

Por último, y como no podía ser menos, la joya de la corona: Internet Explorer. Actualización que se aplica en todas las plataformas, desde 2000 a Vista, y todas sus versiones, desde la 5.01 hasta la 7, MS07-027 (931768).

Como es habitual, antes de aplicar ningún parche debemos cerciorarnos de tener instalado en nuestro sistema el último Service Pack para el software que vamos a actualizar, y determinar que la actualización es necesaria en nuestro sistema. Una buena forma de comprobación es el uso de Windows Update o la herramienta MBSA.

La aplicación de actualizaciones acompañadas de sistemas de detección de software dañino, junto con unas pocas prácticas seguras, ayudarán a mantener la seguridad de nuestro sistema.